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Keksinto liittyy tietokoneisiin, tietoverkkoihin ja tietoliikennejarjestelmiin, ja erityi- 
sesti niissa esiintyvien virusten torjuntaan. 

Tietokoneissa esiintyvat virukset ovat ohjelmanpatkia, joiden paaasiallisena tarkoi- 
tuksena on levittaytya eteenpain. Monet virukset aiheuttavat lisaksi joko tarkoituk- 
10 sellisesti tai tahattomasti vahinkoa isantakoneissa, joissa ne ovat aktivoituneet. Vi- 
rukset saattavat viestia itsestaan tulostamalla tietokoneen nayttolaitteelle viesteja tai 
tuhoamalla tiedostoja. Virus on tavalnsimmin kiinnittyneena yhteen tai useampaan 
tiedostoon ja aktivoituu kyseista tiedostoa avattaessa tai tiedoston ollessa ohjehna, 
sita kaynnistettaessa. Aktivoitumisen jalkeen virus voi Jdinnittya muihin tiedostoi- 
15 hin, ilmoittaa itsestaan koneen kayttajalle tai tuottaa vahinkoa mm. tuhoamalla tyo- 
tai massamuistin sisaltoa. Ennen Internetin aikakautta virukset levisivat tyypillisesti 
levykkeiden valityksella laitteesta toiseen. Nykyisin virusten saastuttamien tiedosto- 
jen lataaminen Intemetista tai viruksia sisaltavien sahkopostiviestien avaaminen 
ovat yleisimpia tartunnan lahteita. Laajat tietoverkot kuten Internet ovat mainioita 
20 ymparistoja virusten laajamittaista levitysta silmallapitaen, silla virusten alkuperai- 
sen levittajan jaljittaminen on verkon dynaamisen ja osittain kayttajien anonymiteet- 
tiakin suojaavan luonteen takia hankalaa, ja toisaalta potentiaalisia tartunnansaajia 
on lahes rajattomasti ympari maailman. 

Useimmiten varsin yleisluontoisesti kaytetyn viruskasitteen alta voidaan erottaa 
25 my6s alaluokkia kuten madot ja troijalaiset hevoset. Madot ovat ohjelmia, jotka 
pystyvat leviamaan itsenaisesti ilman kayttajan suorittamia viruksen kannalta edul- 
lisia toimenpiteita, joita perinteisten virusten aktivoiminen tavallisesti vaatii. Madot 
hyodyntavat esim. automaattisia tiedostojen lahetys/vastaanotto-ominaisuuksia, joi- 
ta on integroitu nykyaikaisiin tietokoneisiin ja tietokonejarjestelmiin. Termin "troi- 
30 jalainen hevonen" kaytto pohjautuu nimensa mukaisesti antiikin Kreikassa suoritet- 
tuun klassiseen petokseen ja antaa vihjeen kyseisen nimityksen saaneen ohjelman 
petolHsesta luonteesta. Troijalainen hevonen on ohjelma, joka on naamioitu joksikin 
muuksi, useimmiten joko hyotykayttoon tai pelkaksi ajanvietteeksi tarkoitetuksi oh- 
jelmaksi. Troijalainen hevonen voi lisaksi sisaltaa perinteisten virusten tai matojen 
35 piirteita. Osa viruksista voi myos kiinnittya tavallisten tiedostojen lisaksi tietoko- 



neen massamuistissa, joko kovalevylla tai levykkeella, sijaitsevaan kaynnistyssekto- 
riin. Kama virukset aktivoituvat tyypillisesti vaUttomasti tietokoneen kaynnistyksen 
yhteydessa tai levykkeen sisaltoa luetfaessa. Virukset saattavat toisaalta pystya peit- 
telemaan olemassaoloaan tarkkailemalla tietokoneessa suoritettuja systeemikutsuja, 
5 joissa kasitellaan esim. massamuistin muistilohkoja, ja palauttaa kutsujasovelluksel- 
le muistilohkojen alkuperaisen, talteen otetun, sisallon niideh nykyisen, viruksen 
muunteleman, datan sijaan. 

Niin perinteisia viruksia,. matoja, troijalaisia hevosia kuin naiden yhdistelmiakin 
vastaan voidaan suojautua useita, keskenaan varsin erityyppisia menetelmia hy6- 
10 dyntamaM. Tietokoneisiin asennettavia virastentorjuntaohjelmia ajetaan useimmi- 
ten jatkuvasti ns. tausta-ajona ja ne sijoitetaan ainakin osittain tietokoneen kaynnis- 
tyksen yhteydessa tySmuistiin valvomaan dataliikennetta tietoverkon ja siihen liite- 
tyn tietokoneen valilla, koneen omia sisaisia operaatioita ja ainakin valilHsesti myos 
massamuistin sisaltoa. Tietokoneen sisaiset operaatiot liittyvat esim. muistin ja tie- 
15 dostojen kasittelyyn seka oheislaitteiden ohjaamiseen. Torjuntaohjelmat sisaltavat 
yleensa tietokannan tunnettujen virusten niista piirteista, ns. sormenjaljista, jotka 
ovat kullekin virukselle tai virustyypille ominaisia. Kun tietokoneen tyomuisthn la- 
dataan uusi tiedosto, esim. ohjelma, koneen muistissa oleva torjuntaohjelmisto suo- 
rittaa haun, jossa verrataan tunnettujen virusten piirteita kyseisen tiedoston sisalta- 
20 maan informaatioon. 

Tarkeat tiedostot voidaan erikseen suojata esim. CRC (CycUc Redundancy Check) - 
tai ns "hash" -tarkisteita kayttaen. MikaU tiedostosta laskettu tarkiste ei vastaa al- 
kuperaista, virus on mahdollisesti Jdinnittynyt tiedostoon ja muuttanut sen sisalta- 
maa informaatiota. 

25 Klassisen vimstentorjuntaohjelmiston tietokanta on aina paivitettava sisaltamaan 
uudelle virukseUe ominaiset tunnusmerkit ennen kuin virus voidaan luotettavasu 
havaita ja tunnistaa. Ns. monimuotoiset (polymorphic) virukset pystyvat muunte- 
lemaan itseaan kopioinnin yhteydessa ja niita on siten erityisen hankala havaita pe- 
rinteisia torjuntaohjelmia kayttamaUa. Monimuotoisen viruksen mutaatiot voivat si- 
30 saltaa samat toimenpiteet erilaisin kaskysarjoin toteutettuina, jolloin viruksen toi- 
minta sairyy ennallaan, mutta sormenjalkipohjaiset virustentorjuntaohjelmat eivat 
enaa luotettavasu pysty tunnistamaan eri variaatioita viruksiksi. Toisaalta vaikka 
kaikki mahdolliset virustyypit seka niiden mutaatiot voitaisiinkin tunnistaa, tun- 
nusmerkkien tallentamiseen vaadittava tQa ja vastaavasti niiden etsimiseen kuluva 
35 aika paisuisivat nopeasti kohtuuttomalle tasolle. 
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Julkaisussa US5889943 esitetaan jarjestelma, jossa suljettu tietoverkko on yhdistet- 
ty ulkoiseen verkkoon yhdyskaytavan avuUa. Yhdyskaytava tutkii ulkoisesta ver- 
kosta tulevan ja toisaalta sinne lahtevan viesuliikenteen mahdollisten virustartunto- 
jen varalta. Suljetun verkon sisaista liikennetta ei tarkasteta. Julkaisussa esitetaan 
5 myOs erillinen laite kayttajan koneeseen asennettavaksi. Laite sisaltaa tiedusteluyk- 
sikon (polling module) verkon yhteisessa postipalvelimessa (postal node) sijaitse- 
vien uusien viestien havaitsemiseksi, vastaanottoyksikon (retrieval module) viestien 
vastaanottamiseksi postisolmulta ja analyysi/kasittely-yksikon (analysis/treatment 
module) virusten loytamiseksi viesteista. 

10 KeksinnOn tavoitteena on valttaa edella mainituissa perinteisissa virustentorjunta- 
menetelmissa ja -jarjestelmissa esiintyvia heikkouksia uudenlaisen turvajarjestel- 
man, siina suoritettavan menetelman ja uudenlaisen laitteen avulla. 

Keksinnon mukaiselle turvajarjestelmaUe virusten toqumiseksi tietokoneissa ja - 
verkoissa, joka turvajarjestelma on jarjestetty valittamMn viesteja, on tunnusomais- 
15 ta, etta se kasittaa ensimmaisen alijarjestelman tuntemattomien virusten havaitsemi- 
seksi. 

Keksinto koskee myos turvajarjestelmaa tiedon eristamiseksi ensimmaisen ja toisen 
jarjestelman vaUUa, jolle turvajarjestelmalle on tunnusomaista, etta se sisaltaa en- 
simmaisen ja toisen aHjarjestelman, ja se on jarjestetty siirtamaan tietoa ensimmai- 

20 sen ja toisen jarjestelman valilla ensimmaisen ja toisen aHjarjestelman kautta, joka 
turvajarjestelma on jarjestetty katkaisemaan yhteys ensimmaisen jarjestelman ja en- 
simmaisen aUjarjestelman valilla ennen yhteyden muodostumista ensimmaisen ja 
toisen alijarjestelman valille, ja jarjestetty katkaisemaan yhteys ensimmaisen ja toi- 
sen aUjarjestelman valilla ennen yhteyden muodostumista toisen aHjarjestelman ja 

25 toisen jarjestelman valille. 

Lisaksi keksinto koskee menetelmaa virusten torjumiseksi tietokoneissa ja - 
verkoissa, jolle menetelmalle on tunnusomaista, etta se suoritetaan jarjestelmassa si- 
saltaen ensimmaisen aHjarjestelman viestien vaHttamiseksi ja virusten havaitsemi- 
seksi, joka ensimmainen alijarjestelma on tiedonsiirron osalta eristettavissa muusta 
30 jarjestelmasta, joka menetelma sisaltaa vaiheet, joissa: 

tarkkaillaan jarjestelman toimintaa viruksen havaitsemiseksi, 
havaittaessa virus suoritetaan halytys. 

Lisaksi keksinto koskee menetelmaa virusten torjumiseksi tietokoneissa ja - 
verkoissa, joUe menetelmalle on tunnusomaista, etta se sisaltaa vaiheet, joissa: 
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suoritetaan jarjestelmassa ainakin yksi toimenpide viruksen aktivoimiseksi, 

tarkkaillaan jarjestelman toimintaa virusakuvoitirarisen aikaansaaman tapah- 
tuman havaitsemiseksi, 

havaittaessa virus suoritetaan halytys. 

Lisaksi keksintd koskee menetelmaa tiedon eristamiseksi ensimmaisen ja toisen jar- 
jestelman valilla, jolle menetelmalle on tunnusomaista, etta se suoritetaan turvajar- 
jestelmassa, joka sisaltaa ensimmaisen ja toisen alijarjestelman, joiden alijarjestel- 
mien kautta siirretaan tietoa ensimmaisen ja toisen jarjestelman valilla, jolle mene- 
telmalle on tunnusomaista, etta se sisaltaa vaiheet, joissa: 

katkaistaan yhteys ensimmaisen jarjestelman ja ensimmaisen alijarjestelman 
; valilla, 

muodostetaan yhteys ensimmaisen alijarjestelman ja toisen alijarjestelman va- 
lille, 

katkaistaan yhteys ensimmaisen alijarjestelman ja toisen ahjarjestelman valil- 

muodostetaan yhteys toisen ahjarjestelman ja toisen jarjestelman valille. 

Lisaksi keksinto koskee laitetta virusten torjumiseksi tietokoneissa ja -verkoissa, 
joka laite sisaltaa valineet tiedon tallentamiseksi ja kasittelemiseksi seka valineet 
tiedon siirtamiseksi toisen laitteen kanssa, jolle ensiksi mainitulle laitteelle on tun- 
nusomaista, etta se on jarjestetty vastaanottamaan viesti mainitulta toiselta laitteelta 
ja tarkistamaan mainittu viesti tuntemattomien virusten havaitsemiseksi. 

Keksinnon edullisen suoritusmuodon mukaan muodostetaan turvajarjestelma tieto- 
konevirusten torjumiseksi, joka jarjestelma sisaltaa ahjarjestelmat 1-3. Ahjarjestel- 
ma 1 on ns. "kuraeteinen", joka valittaa viestiliikenteen ulkoisen jarjestelman ja ali- 
jarjestelman 3, ns. kayttajan jarjestelman, valilla. Turvajarjestelmaan ulkopuolelta 
saapuva viestiliikenne, joka on tavallisesti suunnattu kayttajille alijarjestelmaan 3, 
lahetetaan ensiksi ahjarjestelmasta 1 "eteiseen" eli ahjarjestelmaan 2, josta se my6- 
hemmin ohjataan ahjarjestelmaan 3. Alijarjestelma 2 sisaltaa jokaista alijarjestel- 
man 3 osoitetta, esim. koneen verkkotunnusta tai kayttajan sahkopostiosoitetta, vas- 
taavan osoitteen, jonka kautta viestiliikenne siirtyy ahjarjestelmien 1 ja 3 valilla. 
Ahjarjestelmalla 1 on tieto suta, miten alijarjestelmien 2 ja 3 osoitetieto on yhdistet- 
tavissa keskenaan, jotta saapuva lhkenne voidaan eduUisesti valittaa alijarjestelman 
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3 osoitetta vastaavaan osoitteeseen aUjarjestelmassa 2. Alijarjestelmasta 1 on myos 
suojattu yhteys aUjarjestelmiin 2 ja 3. AUjarjestelmasta 3 ulkoiseen jarjestelmaan 
suuntautuva viesuliikenne voidaan kierrattaa vastaavasti turvajarjestelman aUjarjes- 
telmien 1 ja 2 kautta. AUjarjestelma 1 sisaltaa ne aUjarjestelman 3 ohjelmat ja toi- 

5 minnot, joita virus voisi jollakin tapaa hyddyntaa. Lisaksi aUjarjestelma 1 sisaltaa 
sellaiset ohjelmat ja toiminnot, jotka ovat perusteltuja virusten loytamiseksi. Naita 
ohjelmia ovat esim. virustentorjuntaohjelmat ja ohjelmat, joiden avulla virus voi- 
daan saada aktivoitumaan. Haluttaessa voidaan muitakin ohjelmia ja toimintoja, joi- 
ta ei ole alijarjestelmassa 3, sisallyttaa alijarjestelmaan 1 sen suoritus- ja muistika- 

10 pasiteetin asettamissa rajoissa. Alijarjestelmat 1-3 voidaan tarvittaessa liittaa myos 
(ali)jarjestelmaan X, mikali se virustentorjunnan kannalta katsotaan tarpeelliseksi. 
Jos aUjarjestelmassa 1 tehdaan virushavainto, lahetetaan suojauskasky aUjarjestel- 
mille 2 ja 3 suojattua yhteytta pitkin. Viruksen aktivoituessa turvajarjestelman ali- 
jarjestelmassa 1 sen aiheuttamat vahingot rajoittuvat ahjarjestelmiin 1-2 estaen tai 

15 ainakin huomattavasti rajoittaen vahinkojen syntymista alijarjestelmassa 3 tai muus- 
sa turvajarjestelmaan liitetyssa, suojattavassa jarjestelmassa, silla alijarjestelmat on 
tiedonsiirron osalta mahdollista erottaa toisistaan tai muusta liitetysta jarjestelmasta 
kuten ulkoisesta tietoverkosta esim. havaittaessa virushydkkays. 

Verkkoymparistossa turvajarjestelma voidaan asentaa keskitetysti tiedon vastaanot- 
to/valityspisteeseen. Yksittaisten tietokoneiden osalta, mukaan lukien my8s matka- 
puhelimet ja PDA (Personal Digital Assistant) -laitteet, jarjestelma on mahdollista 
toteuttaa operaattorin tarjoamana palveluna tai uudenlaisena tietokoneena, joka si- 
saltaa keksinnon mukaisesti useamman jarjestelman (alijarjestelmat 1-3). Turvajar- 
jestelma ei valttamatta vaadi lisalaitteistoja toimiakseen, vaan se on monesti ohjel- 
mallisesti toteutettavissa jo olemassa olevassa jarjestelmassa sen verkkoelementteja 
kuten palvelin tai reititin hyddyntaen, jotka verkkoelementit sisaltavat muistin, 
esim. RAM -mmstipiirin ja haihtumattoman muistin kuten kovalevyn, tiedon, esim. 
tietokoneohjelman, tallentamiseksi seka suorittimen mainitun ohjelman maarittele- 
mien toimintojen toteuttamiseksi. 

30 Keksinnon toisen edullisen suoritusmuodon mukaan alijarjestelma 2 jatetaan turva- 
jarjestelman toteutuksesta pois, mikali voidaan taata suojauskomennon saapuminen 
ahjarjestelmaan 3 ennen muuta, mahdollisesti virustartunnan saanutta, viestiliiken- 
netta. Talloin saavutetaan yha korkea suojataso virushydkkaysten varalta ja jarjes- 
telma on kokonaisrakenteeltaan edellista suoritusmuotoa yksinkertaisempi mahdol- 

35 listaen my6s aikaisempaa alhaisemmat laitteistovaatimukset. 




Keksinnon eraan toisen eduUisen subritusmuodon mukaan muodostetaan turvajar- 
jestelma tiedon eristamiseksi kahden jarjestelman valffla. Tiedostot siirretaan ulkoi- 
sesta jarjestelmasta sisaiseen jarjestelmaan, esim. aUjarjestelmaan 3 eli kayttajan 
jarjestelmaan, portaittain aUjarjestelmien 1 ja 2 kautta. Tietojen eristamiseksi 

5 kayttajan aUjarjestelman 3 ja ulkoisen jarjestelman valiUa yhteys ulkoisen jarjestel- 
man ja aUjarjestelman 1 vaklla katkaistaan kun yhteys aUjarjestelmien 1 ja 2 valiUa 
on auki, ja yhteys aUjarjestelmien 1 ja 2 valilla katkaistaan kun yhteys aUjarjestel- 
mien 2 ja 3 valiUa on auki. Vastaavasti voidaan toimia myos siirrettaessa tietoa si- 
saisesta jarjestehnasta ulkoiseen jarjestemiaan. Esitetyn aUjarjestelmien valisen, 

10 portaittaisen viestiliikenteen avuUa voidaan hankaloittaa luvatonta tunkeutumista 
kayttajan jarjesteUnaan. 

Keksinnon eduUisia suoritusmuotoja kuvataan epaitsenaisissa patenttivaatimuksissa. 

Seuraavassa keksintoa selostetaan yksityiskohtaisemmin oheisiin piirustuksiin viit- 
taamaUa. 

15 Kuvio 1 esittaa keksinnon ensimmaisen eduUisen suoritusmuodon mukaista turva- 
jarjestehnaa, joka on kytketty ulkoiseen jarjestelmaan reitittimen avuUa, ja jonka 
aUjarjesteUna 3 sisaltaa kohne kayttajien tietokonetta seka sahkopostipalveUmen, 

kuviot 2A ja 2B esittavat keksinn8n mukaisen turvajarjestelman eri aUjarjestelmia 
ja niiden valisia Uitantoja, 

20 kuvio 3 esittaa vuokaaviota keksinnon mukaisessa turvajarjestemiassa suoritettavan 
virustentorjuntameneteUnan eraasta toteutusvaihtoehtoehdosta, 

kuvio 4 esittaa keksinnon toisen eduUisen suoritusmuodon mukaista turvajarjestel- 
maa, jossa aUjarjesteUna 2 on jatetty turvajarjestelman toteutuksesta pois, 

kuvio 5 esittaa keksinnon kolmannen eduUisen suoritusmuodon mukaista turvajar- 
25 jestelmaa tietojen eristamiseksi ulkoisesta verkosta, 

kuvio 6 esittaa keksinnon mukaista laitetta ja siihen Uitettya muuta jarjestelmaa. 

Kuviossa 1 esitetaan pienyrityksen sisainen tietoverkko, ns. lahiverkko, joka toimii 
samalla kayttajan jarjestehnanaja keksinnon mukaisen turvajarjesteUnan kolmante- 
na aUjarjesteUnana 3 sisaltaen kolme mikrotietokonetta 104, 106, 108 ja sahkQpos- 
30 tipalveUmen 102. Viestinta verkossa tapahtuu keskittimen (HUB) 112 lavitse. Yh- 
teydet ulkoiseen jarjestelmaan 114, esim. maanlaajuiseen tietoverkkoon, onjarjes- 
tetty kuUcevaksi reitittimen 1 10 kautta. Palvelimen 102 ja reitittimen 1 10 toiminnal- 
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lisuudet voidaan haluttaessa toteuttaa my6s samassa tietokoneessa. Turvajarjestel- 
man alijarjestelmat 1 ja 2 sijoittuvat tassa esimerkissa reitittimen 110 yhteyteen, 
mutta oleellisinta keksinnon kannalta on se, etta mahdollisesti vinistartunnan saa- 
neet sahkopostit eivat paase alijarjestelmaan 3 tai ulkoiseen jarjestelmSan 114 ennen 
5 niiden tarkistamista sopivassa valiportaassa, joka voidaan tarvittaessa erottaa lahi- 
verkosta. Taten turvajarjestelma voidaan yleisessa tapauksessa sisallyttaa esim. yh- 
teen tai useampaan erilliseen tietokoneeseen ulkoisen verkon yhdyskaytavan ja si- 
saisen verkon valiin. Mikali tama ei kuitenkaan ole mahdollista, voidaan turvajar- 
jestelma toki toteuttaa kussakin lahiverkon tietokoneessa erikseen. Internetissa IP 
10 (Internet Protocol) siirtokerroksen tehtavana on reitittaa IP -data oikealle vastaanot- 
tajalle. Tavallisesti DNS (Domain Name Service) -palvelinten tietokannat sisaltavat 
erityisia MX (Mail eXchanger) -alkioita, jotka maarittelevat verkkotunnuksille omat 
postipalvelimensa, joihin kaikki kyseisiin tunnuksiin osoitettu posti valitetaan. Pos- 
tipalvelimet, esim. yleiset SMTP (Simple Mail Transfer Protocol) / POP (Post Offi- 
15 ce Protocol) -palvelimet, pyritaan saamaan mahdollisimman toimintavarmoiksi ja 
niita voi toisaalta toimia saman verkkoalueen sisalla useampiakin eri tavoin priori- 
soituina, jotta viestit taUentuisivat jarjestelmaan, vaikkei vastaanottajaa heti tavoi- 
tettaisikaan. DNS -palvelu voi kuviossa 1 esitetyssa tietoverkossa olla sijoitettuna 
esim. reitittimeen 110, joka ohjaa lahiverkkoon 3 saapuvan postiliikenteen auto- 
20 maattisesti palvelimeUe 102. Lisatietoa viestiliikenteen reitityksesta DNS - 
jarjestelman osalta on loydettavissa mm. viitteesta [1]. Reitittimeen voidaan myos 
sisallyttaa NAT (Network Address Translation) toiminnot, joiden avulla sisaisen 
tietoverkon koneet ovat sijoitettavissa eri(tyyppiseen) osoiteavaruuteen kuin mita 
ulkoisessa verkossa kaytetaan. 

25 Palvelin 102 ja tietokoneet 104, 106, 108 ovat kytkettyna Ethernet -tyyppiseen la- 
hiverkkoon erillisen keskittimen 112 avulla. Muita mahdollisia verkkoratkaisuja 
ovat mm. Token Ring, FDDI (Fiber-Distributed Data Interface) ja ATM (Asyn- 
chronous Transfer Mode). Lahiverkossa eli turvajarjestelman ahjarjestelmassa 3 
kaytetty kaapelointi voi olla esim. pari- tai koaksiaalikaapelia. Toisaalta langatto- 

30 miakin ratkaisuja kuten WLAN (Wireless LAN) on mahdolUsta hyodyntaa esim. 
kannettavien tietokoneiden, matkapuhelimien tai PDA -laitteiden verkkoon liittami- 
seksi. Keskitin 1 12, joka sisaltaa useita portteja tietokoneiden kytkemiseksi, lahettaa 
oletusarvoisesti yhdesta portista saamansa datan kaikkiin muihin portteihin. Taten 
aikaansaatu verkkotopologia on vain naennaisesti tahtimainen, koska kyseessa on 

35 edelleen looginen vayla; vaylaan kytketyt laitteet havaitsevat halutessaan myos 
kaikkien muiden lahettamat viestit. Paasymekanismi perustuu Ethernet -verkoissa 
kilpavaraukseen ja on nimeltaan CSMA/CD (Carrier Sense Multiple Access / Col- 
lision Detect), jossa tietokone ensiksi kuuntelee, onko verkko vapaa ja vasta sen jal- 
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keen aloittaa datan pakettimuotoisen lahettamisen. Useampi kone voi aloittaa lahet- 
tamisen yhta aikaa, joten myos lahettajan on kuunneltava vaylaa lahettamisen aika- 
na mahdollisten datansiirtotormaysten varalta. Havaitessaan tormayksia lahettaja 
vaikenee satunnaiseksi ajanjaksoksi ennen uusintalahetysta. 

Ahjarjestelman 3 sisalla data ohjataan tietokoneesta tai laitteesta toiseen ns. MAC- 
eli laiteosoitteiden (Medium Access Control) ja ulkoiseen verkkoon/verkosta IP - 
osoitteiden avulla. Jokaisella verkkoon liitetylla laitteeUa on siten oma MAC- ja IP 
-osoitteensa. ARP -protokolla (Address Resolution Protocol) mahdollistaa IP- 
osoitetta vastaavan MAC-osoitteen selvittamisen lahiverkossa. Osoitekysely lahete- 
taan verkkoon ilman maarattya vastaanottajaa, mutta reititin 110 ei valita kyselya 
lahiverkosta eli tassa tapauksessa aUjarjestelmasta 3 ulos. Laite, joka tunnistaa ky- 
seessa olevan IP -osoitteen, vastaa suoraan kysyjalle. Opittuaan haetun IP-MAC - 
vastaavuuden kysyja merkitsee sen ARP -tauluunsa ja pystyy tulevaisuudessa lahet- 
tamaan datakehyksen suoraan vastaanottajalle ilman kyselyja. Lahetettaessa dataa 
15 aUjarjestelmasta 3 ulos tulee se aluksi siirtaa reitittimelle 1 10, joka hoitaa datansiir- 
ron ulkomaailman kanssa. Jos lahettaja itse havaitsee datan suuntautuvan lahiverkon 
ulkopuolelle, se voi ohjata viestiliikenteen suoraan reitittimelle 110, jonka lahiverk- 
ko-osoite on lahettajan tiedossa. Muussa tapauksessa laite yleislahettaa ARP- 
sanomaii, jossa kysytaan paketin vastaanottajan IP-osoitetta vastaavaa lahiverkko- 
20 osoitetta. Reititin 1 10 havaitsee paketin vastaanottajan sijaitsevan aUjarjestelman 3 
ulkopuolella ja vastaa kyselyyn omalla lahiverkko-osoitteellaan. Taman jalkeen la- 
hettaja vaHttaa viestin reitittimelle 110. Viestien reitittaminen perustuu lahiverkon 
ulkopuoleUa, esim. alueverkossa, tavallisesti jonkin sisaisen reititysprotokollan ku- 
ten RIP (Routing Information Protocol) ja OSPF (Open Shortest Path First) hyodyn- 
25 tamiseen. Autonomisten alueiden, esim. eri maiden verkko-operaattorien tai yritys- 
ten, valiUa kaytetaan ns. ulkoisia reititysprotokollia, esim. BGP.ta (Border Gateway 
Protocol), koska reittia ei talloin vahta pelkastaan tehokkuuskriteerein, vaan valin- 
taan vaikuttavat muutkin seikat, esim. poliittiset, talouteen tai turvaUisuuteen vai- 
kuttavat tekijat, jotka rajoittavat kulloinkin hyodynnettavien reittien valintaa. Maini- 
30 tut rajoitukset ja reittimaarittelyt syotetaan yleensa kasin reitittimiin. Lisatietoa tie- 
toliikenneverkoista erityisesti jarjestelmatasolla on saatavissa viiteteoksesta [2]. 

Kuviossa 2A esitetaan viestin vahttaminen ulkoisesta jarjestelmasta 114 alijarjes- 
telmaan 3 turvajarjestelman eri komponenttien kannalta. Reitittimen 110 yhteyteen 
sijoitettu, mutta eduUisesti sUti toiminnaUisuudeltaan erillinen, ahjarjestelma 1 vas- 
35 taanottaa kaiken valitettavan viestdiikenteen ulkoisen verkon ja ahjarjestelman 3 
valilla. Ahjarjestelman 1 postikirjassa, joka voidaan toteuttaa esim. muistiin tallen- 
nettavana taulukkona, on kutakin alijarjestelman 3 laitteen tunnistetta, esim. verkko- 



tai laiteosoitetta, vastaava tunniste, joka sijaitsee aUjarjestelmassa 2. Kun aUjarjes- 
telma 1 vastaanottaa uuden viestin 202, se tallennetaan valiaikaisesti esim. RAM 
(Random Access Memory) -muistiin, eika viestia 202 kasiteUa, avata tai mfflaan ta- 
voin muuteta ennen varsinaista vaihetta virusten aktivoimiseksi. Alijarjestelma 1 si- 
saltaa oletusarvoisesti alijarjestelman 3 kanssa yhteensopivan tietokdnelaitteiston, 
tata nykya tyypiUisesti esim. MSDOS (Microsoft Disk Operating System) / Win- 
dows -kayttojarjestelmaUa varustetun mikrotietokoneen. Vaikkakin reitittimessa 
110 itsessaankin saattaa olla muistikapasiteettia ja sen suorittimessa laskentatehoa 
esitetyn virustentorjuntamenetelman suorittamiseksi koko laajuudessaan, inySs eril- 
lista, esim. reitittimen ja keskittimen valiin sijoitettavaa, tietokonelaitteistoa voidaan 
hyodyntaa turvajarjestelman toteuttamisessa. Talloin ei mahdollinen virusaktivoi- 
tuminen vaikuta valttamatta yhta tuhoisasti reitittimen toimintaan ja sen sisaltamiin 
viesteihin kuin taysin yhdistetyssa reititin/turvajarjestelma -ratkaisussa. Myos ali- 
jarjestelma 2 voidaan haluttaessa erottaa aUjarjestelmasta 1 omaan laitteistoonsa. 
5 Seuraavaksi aUjarjestelmassa 1 tehdaan haku viestiin 202 mahdolHsesti kiinmtty- 
neiden virusten havaitsemiseksi. MikaU virus havaitaan, suoritetaan halytys, ts. la- 
hetetaan suojauskasky 204 alijarjestelmiUe 2 ja 3. Vaihtoehtoisesti, jos havaittu vi- 
rus on tunnettua tyyppia ja turvajarjestelman toimesta varmuudella poistettavissa 
saastuneesta viestista, voi turvajarjestelma jatkaa normaaUa toimintaansa kuitenkin 
20 tallentaen tiedon virushavainnosta ja tehdyista korjaavista toimenpiteista esim. en- 
tyiseen lokitiedostoon. Puhdas viesti valitetaan aHjarjestelman 2 kautta vastaanotta- 
jalle alijarjestelmaan 3. 

Alijarjestelmiin 1 ja 2 voidaan liittaa jarjestelma X, esim. aHjarjestelma 210 eli ns. 
"kaatopaikka", jonne suojauskaskyn saapuessa tallennetaan halytyksen aiheuttanut 

25 viesti seka esim. muut aUjarjestelmassa 2 siUa hetkella olevat viestit ja tiedostot jat- 
kotutkimuksia varten. Talloin, mikaU turvajarjestelman turvalUselle toiminnalle ase- 
tetut ehdot yha tayttyvat, aUjarjestelmat 1 ja 2 voivat lahes viivastyksetta jatkaa 
normaaUa toimintaansa, kun Uitetty jarjestelma 210 huolehtii varsinaisesta vi- 
rusanalysoinnista. Yhdeksi turvalUsen toiminnan ehdoksi voidaan asettaa esim. ali- 

30 jarjestelmien 1 ja 2 uudeUeenkaynnistaminen ja/tai miden kaytt6muistin tyhjennys. 

Kuviossa 2B esitetaan vastaavasti viestin vaUttaminen lahiverkosta eU turvajarjes- 
telman aUjarjestelmasta 3 ulkoiseen jarjesteUnaan 114. MikaU aUjarjestelmasta 3 la- 
heterysta viestista 206 loydetaan virus, lahetetaan suojauskasky 208 vaUttomasti aU- 
jarjesteUniUe 1 ja 2. Kuvioiden 2A ja 2B sisaltamat vastaanotto- ja lahetyssuunnan 
35 aUjarjestelmat 1 ja 2 sisaltavat logiikaltaan samanlaiset toiminnot ja ne voidaan ha- 
luttaessa sijoittaa fyysisesti joko yhteisiin tai erilUsiin ldtteistoihinsa. MikaU toteu- 
tettu ratkaisu nojaa ainakin osittain yhteiseen laitteistoon, tulee suojauskaskyt edul- 
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lisesti valittaa molempien tiedonsiirtosuuntien akjarjestelmille 2 ja 3 siten, etta vi- 
roshavainnon jalkeen viestiyhteydet my6s katkeavat molempiin suuntiin. Talloin 
varmistutaan siita, etta virukset eivat paase lenkittymaan takaisin tulosuuntaansa ja 
siten saastuttamaan mahdollisesti viela uusia tietokoneita. 

. Kuviossa 3 esitetaan vuokaavio keksinnon mukaisen turvajarjestelman alijarjestel- 
massa 1 suoritettavan vimstentorjuntamenetelman eraasta edullisesta toteutusvaih- 
toehtoehdosta. Attjarjestelman 1 toimintaa tarkkaillaan 302 resurssien, esim. lasken- 
tatehon, saUiessa jatkuvasti, eika vain silloin kuin viesti vastaanotetaan 304 ulkoi- 
sesta jarjestelmasta 114 tai alijarjestelmasta 3. Joskus saattaa olla valttamatSnta 
j asettaa virushaun maksunikestolle raja-arvo, jota ei saada ylittaa. Raja-arvon mah- 
dolUstamalla maksimaalisella hakuajalla, joka maarittelee osaltaan myos esitetyn vi- 
. rustentorjuntamenetelman viestinvaUtykseen tuoman, ehka jarjestelman spesifikaa- 
tiossakin mainitun, maksimiviiveen, tulee voida keskimaarin luotettavasti havaita 
virustartunnan saaneet viestit, mutta poikkeustapauksissa saattaa esim. aktivoitumis- 
1 5 tavaltaan tai muulla tavoin tuntemattoman viruksen saastuttamia viesteja paasta tur- 
vajarjestelman seulasta lavitse. Talldinkin on toki tapauskohtaisesti mahdoUista 
saastya Usavahingoilta tai pienentaa niita, jos virus yleensa edes jossakin vaiheessa 
havaitaan, vaikka se oUsikin jo paassyt kayttajan jarjestelmaan. Turvajarjestelman 
tarkkailemista kasitellaan myShemmin yksityiskohtaisenimin virusten aktivointiyri- 
20 tysten kuvauksen yhteydessa. Mikali tarkkailu paljastaa viruksen 303, snoritetaan 
halytys ja lahetetaan suojauskasky 3 16. 

Virushaun ensimmaisessa vaiheessa vaUtettavasta viestista etsitaan viruksia perin- 
teisten virustentorjuntaohjelmien keinoin 306 ennalta tunnettujen virusten ldytami- 
seksi. Tahan tarkoitukseen voidaan kayttaa esim. tietokantaa virusten sormenjaljista. 

25 Mikali ensimmainen vaihe paljastaa virustartunnan 308, alijSrjestelma 1 lahettaa 
suojauskaskyn 316 ahjarjestelmille 2 ja 3. Muussa tapauksessa etsintaa jatketaan 
toiseen vaiheeseen, jossa yritetaan saada tuntematon virus aktivoitumaan 310 ja si- 
ten paljastamaan itsensa. Turvajarjestelma kay lavitse esim. kaikki ne aktivointita- 
vat, joilla virusten tiedetaan aktivoituvan ja mahdollisesti yhdistelee niita joko sa- 

30 manaikaisesti tai perakkain tapahtuviksi. Uusia aktivoitumistapoja voidaan toisaalta 
lisata jarjestelmaan sita mukaa, kun niita tulee ilmi. Turvajarjestelman havaitsemat 
uudet aktivoitumistavat voidaan myos ohjelmoida tallentuvan automaattisesti sen 
virustietokantaan. Turvajarjestelmaa tarkkaillaan epatavallisten ja siten mahdolHses- 
ti virusten suorittamien tai niiden valillisesti aikaansaamien toimintojen havaitsemi- 
35 seksi 311. Viruksen aktivoituminen turvajarjestelmassa on lahtekohtaisesti suo- 
tuisampaa kuin aMvoituminen kayttajan jarjestelmassa, koska turvajarjestelma 
voidaan vimsaktivoitumisen jalkeen eristaa nopeasti ja toisaalta se ei sisalla rele- 
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vanttia tietoa kuin korkeintaan muutaman viela turvajarjestelmassa sijaitsevan 
valittamattoman viestin osalta. Useimmiten tietoliikenneverkoissa lahetetyt viestit 
tallentuvat myos lahettajan postilaatikkoon, jolloin virusaktivoitumisen seurauksena 
valitysvaiheessa tuhoutuneidenkin viestien uusintalahetys on yleensa mahdoUista 
ilman suuria ongelmia. Virusten aktivoitumiset voidaan jakaa niiden etsinnan kan- 
nalta kahteen paaryhmaan: Ixiimettuihin ja tuntemattomiin aktivoitumistapoihin. Jos 
viruksen aktivoituminen havaitaan 312, suoritetaan halytys ja lahetetaan suojaus- 
kasky 316, muussa tapauksessa viesti vaHtetaan normaalisti eteenpain 3 14 alijarjes- 
telman 2 kautta. 

Tunnettuihin virusten aktivoitumistapoihin sisaltyvat aikaan sidotut aktivoitumiset. 
Aikaa hyodyntava virus saattaa aktivoitua oUessaan esim. kolmannen kerran jarjes- 
telmassa, jonka paivays on 10.9.2002. Tamantyyppisen viruksen havaitsemiseksi 
voidaan mm. jarjestelman aikatietoa, ns. kelloa, juoksuttaa eteenpain ja taaksepain, 
jolloin juoksutus on mahdollisesti suoritettava useampaan kertaan riittavan aktivoin- 
tipaivamaaran ohituskertojen lukumaaran takaamiseksi. Turvajarjestelman suorit- 
tamien juoksutuskertojen lukumaara tulee oUa suurenko, vaihtuva tai ainakin joUa- 
kin tapaa kayttajan maariteltavissa, jotta tietyt aikasidonnaiset virukset eivat paasisi 
saannoUisesti etsinn6ista lavitse jo lahtokohtaisesti liian pienen juoksutusmaaran ta- 
kia. Toisaalta esim. mmstinhallintaan sidottuja aktivoitumisia voidaan seuloa sa- 
) maan tapaan mbninkertaisten muistintayttosilmukoiden avulla, joissa muistipaikko- 
ja kaydaan toistuvasti lapi esim. kirjoittamalla niihin naennaisdataa. Osa viruksista 
aktivoituu, kun massamuistin kuten kovalevyn tiedostoja kasitellaan. 
Tamanlyyppisten virusten aktivoitumista voidaan edesauttaa turvajarjestelman 
suorittamalla automaattiseUa tiedostojen kasittelyUa, esim. naennaistiedostoja 
5 lukemalla tai niihin kirjoittamalla seka naennaistiedostoja generoimalla ja 
poistamalla. My6s tiedostojenhallintaan luttyvien funktioiden kutsuminen eli pelkka 
tiedostokasittelyn osittainen simulointi, saattaa . riittaa virusten aktivointiin. Edella 
mainittujen tapojen lisaksi kaytetaan toisaalta muitakin tiedossa olevia virusten 
aktivointikeinoja ottaen huomioon kunkin aktivoitumistavan erityispiirteet. 

30 On mahdoUista, etta viruksen aktivoituminen perustuu useamman eriUisen ehdon 
yhtaaikaiseen tai perakkaiseen tayttymiseen. Viruksen aktivoitumisehdot saattavat 
toisaalta vaihtua viruksen edetessa laitteistosta toiseen. Tall6in voidaan monipuoh- 
silla ja moninkertaisilla aktivointiyrityksiUa silti pienentaa viruksen todennakdisyyt- 
ta lapaista turvajarjestelma. Turvajarjestelma voi joko kayttajan ohjelmoiman, sii- 

35 hen esim. julkaisuvaiheessa esiohjelmoidun tai ainakin osittain satunnaisuuteen 
pohjautuvan ohjauslogiikan perusteeUa paattaa kaytetyista aktivointikeinoista, nii- 
den toistojen maarasta ja hyodynnettavista aktivointikeinojen kombinaatioista. Ku- 
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vion 3 menetelmassa vaiheita 310 ja 311 voidaan siten toistaa mainitun logiikan 
mukaan ennen viestin lopullista virusvapaaksi toteamista ja vaUttamista eteenpain. 
Jos erillisia turvajarjestelmia sijoitetaan viestiketjussa useampaan kohtaan, jarjes- 
telman kokonaisturvataso nousee moninkertaisten, riippumattomien tarkistusten jal- 
5 keen varsin korkealle tasolle. 

Taysin ennalta tuntemattomien virusten ja niiden aktivoitumistapojen loytamiseksi 
voidaan toisaalta yrittaa joko ennakoida mahdollisia uusia aktivoitumistapoja tai 
kayttaa jotakin erityista menetelmaa virustartunnan tai -aktivoitumisen aiheuttaman 
johdannaisvaikutuksen havaitsemiseksi. Eras menetelma, jonka avulla havaitaan 
10 poikkeavuuksia valitettavissa viesteissa, perustira viestien moninkertaiseen lahetta- 
miseeh. Kyseisessa menetelmassa sahkopostin lahettaja lahettaa ainakin kaksi vies- 
tia A ja B, joka viesti B on joko viestin A identtinen kopio tai vahintaankin tarkka 
kuvaus viestin A koostumuksesta. Viestien A ja B vertailu voidaan suorittaa jo laher 
tyspaassa, lahetyssuunnan turvajarjestelman alijarjestelmassa 1. AUjarjestelma 1 
15 osaa vertailla juuri oikeita viesteja viesteina A ja B tunnettua timnistamistekniikkaa 
hyvaksikayttaen. Jos esim. viesteille muutoinkin annetaan yksilfillinen ID (IDenti- 
fier) -tunniste, voidaan siihen viela Usata kirjaimet A ja B kuvaamaan saman viestin 
eri kopioita. Tunnisteena on mahdolUsta kayttaa lanes mita tahansa viestin joUakin 
tavalla yleensa yksiloUista osaa otsikkokentasta ja sen sisaUosta hyotykuormaan tai 
20 sen osaan. Mikali vertailussa ei havaita mitaan poikkeavaa, ts. viestit ovat joko tun- 
nisteita ja mahdollisesti tarkkaa lahetysaikaa lukuun ottamatta identtiset tai viestin 
B kuvaus viestista A pitaa tasmalleen paikkansa, lahettaa lahetyspaan lahetyssuun- 
nan turvajarjestelman alijarjestelma 1 viestin A eteenpain ja joko arkistoi tai havit- 
taa viestin B. Jos vertailussa havaitaan poikkeavuuksia, aiheuttavat ne virushalytyk- 
25 sen, koska poikkeavuus saattaa johtua viruksen kiinnittymisesta jompaankumpaan 
viestun. Yksinkertainen tekniikka saastuneen viestin erottamiseksi vahingoittumat- 
tomasta perustuu viestin uusintalahetykseen, jossa alijarjestelma 1 pyytaa lahettajaa 
lahettamaan viestin viela kertaalleen, ja viestin saavuttua vertailee sita edellisiin 
viesteihin. Kaytannossa tama voidaan toteuttaa niin, etta lahetyspaan lahetyssuun- 
30 nan turvajarjestelma ilmoittaa lahetyspaan vastaanottosuunnan tui^ajarjestelmalle, 
jotka ovat siten tiedonsiirtoyhteydessa myos keskenaan, esim. viestin avulla, etta la- 
hettajalta toivotaan viestin uusintalahetysta. Taman jalkeen vastaanottosuunnan tur- 
vajarjestelma valittaa pyynnSn lahettajalle, joka lahettaa viestista uuden kopion. 
Vaihtoehtoisesti lahetyssuunnan turvajarjestelma voi sisaltaa oman paluukanavan 
3 5 ahjarjestelmaan 3 esim. kuittausviestien tai uudelleenlahetyspyyntojen vaUttamisek- 
si. MikaU turvajarjestelma on jarjestetty kuittaamaan lahettajalle kaikki virheettd- 
masti vastaanotetut valitettavaksi tarkoitetut viestit, voidaan kuittaus jattaa tarkoi- 
tuksellisesti tekematta, jolloin lahettaja automaattisesti lahettaa viestista toisen ko- 
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pion, joka kuitataan nyt normaaliin tapaan. Viestin kopioiden vertailussa voidaan 
esim. tiedostokoon kasvamisesta paateUa, mihin viestiin tai viesteihin virus on kiin- 
nittynyt. 

EdeM esitetty viestien moninkertaiseen lahettamiseen pohjautuva menetelma on 
5 sovellettavissa vastaavasti my6s vastaanottopaassa, joUoin ulkoisesta jarjestelmasta 
saapuu vastaanottosuunnan turvajarjestelman ahjarjestelmaan 1 ainakin kaksi tun- 
nisteidensa avulla toisiinsa assosioitavissa olevaa viestia, joita vertaiUaan poik- 
keavuuksien havaitsemiseksi. Mikali ulkoinen jarjestelma ei automaattisesti laheta 
tai sita ohjelmoida lahettamaan viestista useampaa kopiota, turvajarjestelma voi ha- 
10 lutessaan pyytaa ulkoiselta jarjestelmalta jo vastaanotetun viestin uudeUeenlahetysta 
esim. postinvaUtysprotokolliin valmiiksi ohjelmoituja pemstoimintoja, joita ovat 
mm. viestin uudeUeenlahetyspyynto ja kuittaus vastaanotetusta viestista, hyodynta- 
malia ja siten saada useamman kopion viestista tutkittavaksi. 
UudeUeenlahetyspyynto voidaan toimittaa joko viestin alkuperaiseUe lahettajalle tai 
15 vaihtoehtoisesti esim. ulkoisen jarjestelman postipalvelimeUe, joka vaHttaa pyynnon 
eteenpain lahettajalle tai toimittaa mahdollisesti muistiinsa tallennetun kopion 
viestista turvajarjestelmaUe. Viimeksi mainitussa vaihtoehdossa viruksen 
havaitseminen voi tosin oUa lahtokohtaisesti vaikeampaa, koska 
viestmvahtysketjusta jaa kopion osalta alkuperaisen lahettajan suorittama osuus 
20 kokonaan pois. UudeUeenlahetyspyynto on mahdolUsta ehdoUistaa koskevaksi vain 
osaa kaikista viesteista. Esim. vain liitetiedostoja sisaltavat viestit tutkitaan 
vertailun avulla, koska juuri liitetiedostot toimivat useimmiten viruksenkantajma. 

EdeUa kuvatussa jarjestelyssa viestit luodaan samassa jarjestelmassa Cahettaja joko 
alijarjestelmassa 3 tai ulkoisessa jarjestelmassa), joten teoriassa on toki mahdoUista, 
25 etta virus sisaltyy kaikkiin viesteihin ja ilmenee niissa samaUa tavoin. TaU6in vies- 
tien keskinainen vertaUu ei tuota tulosta, jos esim. saastunut liitetiedosto on missa 
kaikissa mukana. Taman riskin eliminoimiseksi voidaan haluttaessa rakentaa turva- 
jarjestelma siten, etta lahettajan eli lahetyspaan turvajarjestelman alijarjestelman 3 
ohjausyksikkojen (nappaimisto, hiiri jne.) rinnaUe kytketaan toinen jarjestelma, 
30 esim. lahetyssuunnan turvajarjestelman ahjarjestelma 1, joka sisaltaa alijarjestelman 
3 ohjelmat ja tiedot niin, etta viesti B generoituu ja tallentuu rinnakkaiseen jarjes- 
telmaan samalla tavoin kuin viesti generoituu ja tallentuu tai ainakin haluttaessa tal- 
lentuisi ahjarjestelmissa 1-3. Vaihtoehtona tarkistusviestin B (A) lahettamiselle ah- 
jarjestelmaan 1 onkin nyt, etta lahetetaan ainoastaan viesti A (B) ja ainakin yksi tar- 
35 kistusviesti B (A) taUennetaan lahettavaan ja/tai rinnakkaiseen jarjestelmaan ja ver- 
taUun suorittava jarjestelma, ahjarjestelma 1, tekee vertaUun mainitussa lahettavas- 
sa/rinnakkaisessa jarjestelmassa. Ahjarjestelma 1 voidaan esim. ohjelmoida ana- 
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lysoimaan viesti A sen ominaispiirteiden selvittamiseksi ja kytkeytymaan sen jal- 
keen rinnakkaiseen jarjestelmaan mainittujen ominaispiirteiden vertailemiseksi ky- 
seiseen rinnakkaiseen jarjestelmaan tallennetun viestin B ominaispiirteiden kanssa. 
Mikali alijarjestelma 1 on itse myds mainittu rinnakkamen jarjestelma eli se tallen- 
taa viestin B jo sen teko- tai viimeistaan lahetysvaiheessa ja toisaalta vastaanottaa 
viestin A normaalisti, on vertailu varsin helppoa eriUiseen rinnakkaiseen jarjestel- 
maan kytkeytymisen ollessa nain tarpeetonta. 

Toisaalta rinnakkainen jarjestelma voidaan kytkea lahetyspaassa lahetyssuunnan 
turvajarjestelmaan tai vaihtoehtoisesti johonkin muuhun viestmvalitykseen soveltu- 
vaan verkkoelementtiin siten, etta kyseinen rinnakkainen jarjestelma vaUttaa vieste- 
ja eteenpain joko ohi tai lapi lahetyspaan turvajarjestelman. Talloin jaljempana vies- 
tiketjussa, esim. vastaanottopaassa, vastaanottosuunnan turvajarjestelma vertailee 
vies'teja kuten ailcaisemmin on jo kuvattu, erona aiemmin esitettyyn viestien vertai- 
luratkaisuun lahinna se, etta toinen viesteista onkin peraisin lahettajan jarjestelmaan 
kytketysta rinnakkaisesta jarjestelmasta eika itse lahettajalta. Vastaanottopaan 
turvajarjestelma voi tarvittaessa pyytaa viestin unsintalahetysta lahetyspaan 
turvajarjestelmalta tai vaihtoehtoisesti lahettajalta/rinnakkaiselta jarjestelmalta joko 
suoraan tai valillisesti turvajarjestelman kautta. 

Turvajarjestelman tarkkailussa keskitytaan mm. seuraaviin seikkoihin virusten to- 
dentamiseksi: 

Ahjarjestelmassa 1 tapahtuu jokin muutos ennen kuin ahjarjestelma 1 on vi- 
ruksen paljastamiseksi itse tehnyt muutoksia aiheuttavia toimenpiteita, 

ahjarjestelmassa 1 tapahtuu muutos, jossa ei ole kysymys ahjarjestelman vi- 
ruksen paljastamiseksi tekemasta toimenpiteesta, 

viesti lahtee ahjarjestelmaan 2 tai muuhun jarjestelmaan ilman alijarjestelman 
1 kaskya, 

viesti lahtee ahjarjestelmaan 2 tai muuhun jarjestelmaan, mutta vaaraan osoit- 
teeseen tai jarjestelmaan X, jos sellainen on kytketty, mutta johon ei ole lahto- 
kohtaisesti suunnattu viestiliikennetta, 

) viesti ei lahde ahjarjestelmaan 2 tai muuhun jarjestelmaan, vaikka ahjarjestel- 

ma 1 on sen sinne lahettanyt, 

jarjestelman tarkkailuohjelmisto havaitsee aktivoituneen viruksen jollakin 
muulla perusteella. 
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Ahjarjestelman 1 valittaessa halytyksen seurauksena suojauskaskyn 316 alijarjes- 
telmille 2 ja 3 ahjarjestelmat 1-3 katkaisevat tiedonsiirtoyhteytensa esim. siten, etta 
ne eivat voi enaa vastaanottaa tai lahettaa viesteja. Oleellista suojauskaskyn aiheut- 
tamissa toimenpiteissa on, etta viestiliikenne alijarjestelmien 1 ja 2 seka kayttajan 
5 jarjestelman valilla ei enaa kulje, kunnes vimshalylyksen syy on selvitetty ja mah- 
dollisesti saastuneet tiedostot puhdistettu. Eras toimintamalliltaan yksinkertainen 
vaihtoehto turvajarjestelman puhdistamiseksi on alijarjestelmien 1 ja 2 uudelleen- 
asentaminen, haluttaessa kuitenkin vasta sen jalkeen, kun halutut tiedot on siirretty 
joko automaattisesti tai kayttajan antaman komennon jalkeen alijarjestelmaan 210 
10 myohempaa analysointia varten. Mahdollinen virastentorjuntajarjestelman virusha.- 
lytyksen laukeamisesta ja siihen liittyvista suojaus/analysointitoimenpiteista johtuva 
palvelutauko koskien ulkoisen verkon ja suojattavan jarjestelman valista viesulii- 
kennetta voidaan niinimoida varajarjestelman, esim. rinnakkaisen turvajarjestelman, 
kayttoonotolla. Mikali virus saadaan alijarjestelmassa 210 analysoitua, voidaan siita 
15 myohemmin lahettaa "sormenjaljef ' muille mnnetuille tui^ajarjestelmille ja turva- 
jarjestelman kehittajan palvelimelle esim. lisattavaksi asiakkaille saannoUisesti toi- 
mitettavaan virustietokantaan, jotta kyseinen virus saadaan myShemmin tunnistettua 
jo virushaun ensimmaisessa vaiheessa 306. 

Suojauskasky lahetetaan edulUsesti eriUista ja suojattua yhteytta hyvaksikayttaen 
20 alijaqestelmille 2 ja 3, vaikkakin my6s normaalin viestinvaUtyksen kanssa yhteinen 
datalinkki on mahdollinen. Suojauskaskyn valittamisen kannalta on tarkeaa, etta 
kasky saadaan mahdoUisimman nopeasti ja luotettavasti toimitettua vastaanottajalle 
ja suojauskaskyn tuleekin saavuttaa vastaanottaja eli ahjarjestelma 2 tai 3 ennen 
kuin virus ehtii tehda vahinkoa kyseisissa jarjestelmissa tai levita eteenpain. Esim. 
25 saastuneen viestin saapuessa ulkoisesta jarjestelmasta 1 14 reitittimelle 1 10 alijarjes- 
telmasta 1 lahtevan suojauskaskyn on saavutettava ahjarjestelma 3 ennen virusta ja 
yhteys aHjarjestelmien 2 ja 3 valilla tulee voida katkaista, jotta saastunut viesti ei 
valittyisi lainkaan aUjarjestelmaan 3. Yhteyksien katkaiseminen on mahdollista suo- 
rittaa esim. ohjelmallisesti sulkemalla tiedonsiirtopalvelut kyseisissa alijarjestelmis- 
30 sa. Jos kayttajan jarjestelma, ahjarjestelma 3, hyodyntaa esim. perinteisia lOMbit/s 
Ethernet -linkkeja, mutta keskittimessa 112 on tarvittava logiikka hoitamaan 10<- 
>100Mbit/s nopeuskonversiota seka eri linkkien vahsta priorisointia, voidaan reitit- 
timen 110 yhteyteen sijoitetun turvajarjestelman ahjarjestelma 1 liittaa suoraan 100 
Mbit/s linkin kautta keskittimeen 112, joka on ohjelmoitu antamaan korkein priori- 
35 teetti 100 Mbit/s -linkin kautta kulkevalle datalle. Turvajarjestelman toteuttavassa 
laitteistossa maaritetaan suojauskaskylle tietty muoto tai ainakin tietty tunniste, jon- 
ka avulla vastaanottajat voivat sen identifioida. Myoskin mikaU yhteys suojauskas- 
kyn lahettajalta sen vastaanottajalle on erillinen, voidaan ajatella lahes minka tahan- 
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sa sita kautta lahetetyn datan olevan riittava peruste yhteyksien katkaisemiseksi. 
Talloin viruksen paastya kasiksi turvajarjestelmaan ja lahettaessa omia viruksin va- 
rustettuja viesteja erillista yhteytta kayttaen, myos ne laukaisevat halytyksen. Tur- 
vajarjestelman toteuttavalle ohjelmistolle ja prosesseiUe, koskien kaikkia alijarjes- 
5 telmia 1-3, tulee maaritella korkeat suoritusprioriteetit, jotta suojauskaskyjen lahet- 
tarainen ja vastaanottaminen suoritetaan viipymatta, riippumatta siita, valitetaanko 
suojauskasky erillista yhteytta pitkin vai ei. AUjarjestelma 2 voidaan asettaa tarkoi- 
tuksella viivastyttamaan viestien vaUtysta esim. kayttajan saadeltavissa olevan pa- 
rametrin kautta, jotta mahdollisen suojauskaskyn saapuessa ei saastuneita viesteja 
• 0 varmasti ole viela ehditty lahettaa eteenpain. Toisaalta keskitin 1 12 tai muu vastaa- 
va alijarjestelman 3 solmuelementti on mahdolHsta ohjelmoida ymmartamaan suo- 
jauskaskyt ja sulkemaan kauttaan kulkevat tietoliikenneyhteydet. Talloin ei 
alijarjestelman 3 jokaiselle elementille tarvitse erikseen muodostaa erillista yhteytta 
aUjarjestelmaan 1 tai ohjelmoida tukea suojauskaskyn tulkitsemiseksi. 

15 Keksinnon toisessa eduUisessa suoritusmuodpssa, katso kuvio 4, aUjarjestelma 2 ja- 
tetaan rurvajarjestelman toteutuksesta pois, mikali suojauskasky 402 tavoittaa vas- 
taanottajansa nopeainmin kuin mita saastuneen viestin lahettamiseen ja vastaanot- 
tamiseen kuluu aikaa. AUjarjestelma 210 voidaan yha sailyttaa virusten analysoimi- 
seksi. Suojauskaskyn nopea siirtaminen on toteutettavissa esim. nopean erillisen da- 

20 tayhteyden avulla. Myos turvajarjestelman ohjelmiston suojauskaskyjen kasittelyyn 
liittyvien prosessien korkea prioriteetti ja muun viestinvalityksen Mdastaminen 
maksimaalista alhaisemmaUe tasolle parantavat virusten havaitsemismahdollisuuk- 
sia ennen niiden vaUttamista eteenpain. Toisaalta mainittu hidastaminen voidaan 
kytkea itse virushavaintoon esim. niin, etta ahjarjestelman 1 havaitessa viruksen se 

25 hidastaa omaa viestinvaUtystaan maaritetyUa tavalla ja ahjarjestehnat 2 ja 3 toimi- 
vat vastaavasti suojauskaskyn vastaanotettuaan. Tallein saavutetaan yha korkea suo- 
jataso viriishyokkaysten varalta jarjestelman sailyessa rakenteeltaan yksinkertaisena 
mahdollistaen myos edellista suoritusmuotoa alhaisemmat laitteistovaatimukset. 

Kuvio 5 esittaa keksinnSn erasta toista eduUista suoritusmuotoa, jossa edella esitetty 
30 keksinnon ensimmaisen edullisen suoritusmuodon mukainen turvajarjestelma eris- 
taa kayttajan jarjestelman eh alijarjestelman 3 ulkoisesta jarjestelmasta 114 luvat- 
tomien tunkeutumisyritysten hankaloittamiseksi. Tiedot, esim. tiedostot ja viestit, 
siirretaan ulkoisesta jarjestelmasta 114 ahjarjestelmaan 3 ahjarjestelmien 1 ja 2 
kautta. Kuvion esimerkissa aUjarjestelma 1, jolla ei ole samanaikaisia yhteyksia ul- 
35 koiseen jarjestelmaan ja aUjarjestelmaan 2, on saanut viestin ulkoisesta jarjestelmas- 
ta. Seuraavaksi yhteys ulkoisen jarjestelman 114 ja aUjarjestelman 1 vaUlla katkais- 
taan ennen yhteyden muodostamista aUjarjestelmien 1 ja 2 valine ja viestin vaUtta- 
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mista aUjarjestelmaan 2, katso kuvion vaihe A. Taman jalkeen yhteys aUjarjestelmi- 
en 1 ja 2 valilla katkaistaan ennen yhteyden muodostamista aUjarjestelmien 2 ja 3 
valille ja viestin valittamista vastaanottajalle aUjarjestelmaan 3, katso kuvion vaihe 
B. Nyt myos yhteys ulkoisen jarjestelman 114 ja aUjarjestelman 1 valilla voidaan 

5 jalleen avata, vrt. katkoviiva kuviossa. Taten suoraa reaaliaikaista yhteytta ulkoisen 
jarjestelman 114 ja aUjarjestelman 3 valilla ei esiinny ja aUjarjestelma 3 on eristetty. 
Yhteyksien katkaiseminen voidaan toteuttaa esim. ohjelmalUsesti sulkemalla tie- 
donsiirtopalvelut alijarjestelmissa 1 ja 2. AUjarjestelmaan 3 kohdistuvat hyokkays- 
yrirykset voivat silti perustua mm. viesteissa lahetettyihin vihamielisiin ohjelmiin 

10 (vrt. troijalaiset hevoset), jotka suorittavat piilotoiminteita kuten tiedonkeruuta ali- 
jarjestelmassa 3 tai pyrkivat sotkemaan sen toimintaa. Tamantyyppiset ohjelmat 
ovat kuitenkin havaittavissa aUjarjestelman 1 virustenhaku- ja aktivomtimenetelmil- 
la ennen niiden paasya aUjarjestelmaan 3, Vastaavanlainen menettely voidaan halut- 
taessa suorittaa myos siirrettaessa tietoa aUjarjestelmasta 3 ulkoiseen jarjestelmaan 

15 114. Kummassakin uedonsiirtosuunnassa on toki muitakin portaittaisen tiedonsiir- 
ron takaavia vaihtoehtoja aUjarjestelmien ja ulkoisen verkon valisten yhteyksien 
katkaisemiseksi ja muodostamiseksi, joissa reaaUaikaista yhteytta ulkoisen jarjes- 
telman ja aUjarjestelman 3 valilla ei missaan vaiheessa paase syntymaan. Jos hyo- 
dynnerytyhteydet ovat kaksisuuntaisia, voidaan vastaanottosuunnan aUjarjestelma 1 

20 ja lahetyssuunnan aUjarjestelma 2 seka toisaalta vastaanottosuunnan aUjarjestelma 2 
ja lahetyssuunnan aUjarjestelma 1 sijoittaa eduUisesti toistensa yhteyteen. 

Keksinnon eraassa toisessa edulUsessa suoritusmuodossa, katso kuvio 6, kytketaan 
verkkoelementtiin kuten kayttajan tietokoneeseen 602, reitittimeen, kytkimeen, pal- 
veUmeen 604 tai keskittimeen, laite 606 virusten aktivoimiseksi ja havaitsemiseksi. 
25 Kytkenta 608 on toteutettavissa esim. Ethernet -ryyppisen Uitannan avulla perintei- 
sesti parikaapeUa hyodyntaen tai langattomasti WLAN -yhteyden lavitse. Aikai- 
semmista suOritusmuodoista poiketen laite 606 ei tassa tapauksessa vaUta kauttansa 
viesteja, vaan siUe siirretaan ainakin osa verkkoelementin 602, 604 lahettamista, la- 
hetettavaksi tarkoitetuista tai vastaanottamista viesteista tarkistettavaksi. MikaU 
30 kaikkia viesteja ei saannoUisesti laheteta mainituUe laitteelle 606 tai vaihtoehtoisesti 
laite 606 niita itse verkkoelementilta 602, 604 nouda, voidaan ohjelmoida ainakin 
esim. haluttu prosenttiosuus kaikista viesteista vaUtettavaksi laitteeUe 606 virusha- 
kua varten, ja tahan osuuteen sisaltyvat viestit on mahdoUista vaUta erityyppisten 
kriteerien perusteeUa. Eraana kriteerina voikin oUa, etta Uitetiedostoja sisaltavat 
35 viestit tarkistetaan aina. Laite 606, joka on esim. tietokone, sisaltaa oleeUisesti sa- 
mat ohjehnistot kuin aikaisemmin esitetyn turvajarjestemian aUjarjestehna 1, minka 
Usaksi siihen voidaan tarpeen mukaan sisallyttaa aUjarjesteUnan 2 piirteita joko sa- 
maan tai ainakin osittain eriytettyyn aUlaitteistoonsa. Esim. verkkoelementilta 602, 



18 



604 tarkastettavaksi saatujen viestien todellisten vastaanottajien tunnisteet kuten 
verkko- tai laiteosoitteet voidaan ottaa talteen ja simuloida viestinvalitysta maini- 
tuille vastaanottajille Hsaamalla tunnisteet joko vain ohjelmalHsesti tai my6s muulla 
tavoin laitteesta 606 eriytettyyn alilaitteistoon, joka taten osittain vastaa esitetyn 
5 turvajarjestelman alijarjestelmaa 2 viestien "valivarastona", jonne laite 606 voi tes- 
timielessa vaUttaa vastaanottamansa viestit, mutta joka ei tassa tapauksessa kuiten- 
kaan valita viesteja oikeasti eteenpain aidon alijarjestelman 2 tapaan. Nain ollen 
myos viestien vaHtykseen liittyvia virusaktivoitumisen havaitsemiskeinoja voidaan 
hyodyntaa mainitussa laitteessa 606. - 

10 Laite sisaltaa tarvittavan muistin, esim. RAM -muistipiirin 6 10 ja haihtumattoman 
muistin 612 kuten kovalevyn tai levykeaseman, ohjelmien, esim. virustentorjunta- 
ohjelmiston, sisaltamien kaskyjen tallentamiseksi ja tiedostojen kasittelemiseksi tai 
tiedbstojen kasittelyn simuloimiseksi, seka suorittimen 614 mainittujen kaskyjen to- 
teuttamiseksi. Laite 606 vastaanottaa viestin siihen kytketylta verkkoelementata 
15 602, 604 ja kay viestin lavitse tunnettujen ja tuntemattomien virusten varalta seU- 
tyksessa jo aikaisemmin mainittuja tekniikoita, mm. kuvion 3 menetelmaa, hyodyn- 
taen. Viestin tarMstamisen ajaksi voidaan muu viestinvalitys laitteeseen 606 kytke- 
tyssa verkkoelementissa 602, 604 esim. ohjelmallisesti pysayttaa, kunnes laite 606 
ilmoittaa mainitulle verkkoelementille 602, 604 viestin olevan puhdas, tai vaihtoeh- 
20 toisesti voi virushaku olla taysin riippumatonta varsinaisesta viestinvaUtyksesta 
muussa jarjestelmassa. Vastaavasti my6s tarkistettavan viestin vaUtysta oikeaile 
vastaanottajalleen voidaan viivastyttaa, kunnes viesti on todettu laitteen 606 toi- 
mesta vapaaksi viruksista. Laite 606 on toisaalta ohjelmoitavissa palauttamaan 
verkkoelementille 602, 604 tarkistettu viesti kokonaisnudessaankin, jolloin verk- 
25 koelementti 602, 604 valittaa mainitun tarkistetun viestin sellaisenaan eteenpain, ja 
alkuperainen tarkistamaton kopio viestista jatetaan lahettamatta. Verkkoelementti 
602, 604 voidaan vaihtoehtoisesti ohjelmoida havittamaan alkuperainen viesti heti, 
kun kopio viestista on valitetty laitteelle 606 tarkistettavaksi. Taten riski tarkista- 
mattoman viestin kulkeutumisesta eteenpain saadaan minimoitua. 

30 Laitteen 606 havaitessa valitettavassa viestissa virustartunnan tallentaa se tiedot ta- 
pahtuneesta muistiin 610, 612 ja mikali laitteen 606 ja siihen kytketyn verkkoele- 
mentin 602, 604 valinen tiedonsiirtoyhteys on kaksisuuntainen, jossa yhteydessa 
tiedonsiirtosuunnat voivat olla erotettuna toisistaan, myos edullisesti ilmoittaa vies- 
titse mainituUe verkkoelementille 602, 604 virushalytyksesta. Keksinte on kyseises- 

35 sa suoritusmuodossaan helppo liittaa muuhun, jo toiminnassa olevaan, jarjestel- 
maan, koska minimivaatimuksena muun jarjestelman osalta on vain tiedonsiirtoyh- 
teys viestin valittamiseksi varsinaisen kohteen lisaksi myos keksinnon mukaiseen 
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laitteeseen 606. Lisaksi, esim. ohjelmallisesti toteutettavissa oleva kontrollilogiikka 
viestinvalityksen pysayttamiseksi, kunnes laitteelta 606 on vastaanotettu tieto tar- 
kastettavan viestin puhtaudesta, tai vastaavasti virushalytyksen yhteydessa suoritet- 
tavat toiminnot, ovat nekin alan ammattimiehelle yksinkertaisia toteuttaa ohjelmal- 
5 lisesti. 

Esitetty turvajarjestelma, menetelma ja laite virasten torjumiseksi seka tiedon eris- 
tamiseksi pureutuu tietojarjestelmien ja -verkkbjen tietoturvan osalta perustavanlaa- 
tuiseen ongelmaan; miten ennalta tuntemattomat virukset voidaan havaita ja niiden 
hy6kkaykset torjua. Perinteisesti virus loydetaan vasta sen aktivoiduttua kohdejar- 
10 jestelmassa, minka jalkeen virus identifioidaan ja loydetyt sormenjaljet lisataan vi- 
rustentorjuntaohjelmistojen tietokantoihin. Tama ratkaisutapa edellyttaa usealta eri 
osapuolelta valittSmia toimia, jotta vakavammalta epidemialta valtyttaisiin; viruk- 
sen' ensimmaisen havaitsijan tulee viipymatta toimittaa saastunut tiedosto tms. 
virustentorjuntaohjelmiston paivittamisesta vastaavalle taholle, paivittajan tulee 
15 tehda virustentorjuntaohjelmiston virustietokannasta uusi versio ja toimittaa se 
jokaiselle kayttajalle, jonka tulee lopuksi paivittaa asiakassovelluksensa tietokanta 
vastaamaan tehtyja lisayksia. On selvaa, etta mikali joku ylla esitetyn tehtavaketjun 
vaiheista jaa tekematta tai vaihe jostakin muusta syysta, esim. vioittuneiden posti- 
tai tietoliikenneyhteyksien takia, epaonnistuu, ei viruksen leviamiselle ole esteita. 
20 Ehdotettu uudenlainen ratkaisu tukeutuu aluksi virustietokantaan jo tunnettujen 
virasten havaitsemista varten, mutta aloittaa sen jalkeen aktivoimisyritykset ja 
jarjestelman toimintojen yleisen tarkkailun uusien, viela tuntemattomien viruksien 
loytamiseksi. Viruksen aktivoituessa vahingot rajoittuvat ennalleen palautettavissa 
olevaan turvajarjestelmaan ja viestiyhteydet sulkeutuvat estaen saastuneiden viestin 
25 valittymisen ulkoiseen tai sisaiseen verkkoon. Jarjestelman toimintavarmuutta 
parannetaan valittamalla suojauskaskyt erillisia, suojattuja yhteyksia pitkin. 
Turvajarjestelma monitoroi itseaan myos silloin, kun varsinaista viestiliikennetta ei 
ole valitettavana, jotta mahdollisesti havaitsematta jaaneet virukset loytyisivat 
mahdollisimman varhaisessa vaiheessa. Turvajarjestelman avulla voidaan erottaa 
30 kayttajan jarjestelma ulkoisesta verkosta tunkeutumisyritysten hankaloittamiseksi. 

Edella esitetyt keksinnon suoritusmuodot ovat vain ei-rajoittavia esimerkkeja ja 
keksinndn lopullinen toteutus voi taten vaihdella jaljempana esitettavien patentti- 
vaatimusten sisaltarnan keksinndllisen ajatuksen puitteissa. 
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Patenttivaatimukset 

1 . Turvajarjestelma virusten torjumiseksi tietokoneissa ja -verkoissa, joka turva- 
jarjestelma on jarjestetty valittamaan viesteja, tunnettu siita, etta turvajarjestelma 
sisaltaa ensimmaisen alijarjestelman (1) tuntemattomien virusten havaitsemiseksi. 

5 2. Patenttivaatimuksen 1 mukainen turvajarjestelma, tunnettu siita, etta se on 
jarjestetty valittamaan virushavainnon aiheuttama halytys ainakin yhteen turvajar- 
jestelmaan liitettyyn jarjestelmaan (2, 3). 

3. Patenttivaatimuksen 1 tai 2 mukainen turvajarjestelma, tunnettu siita, etta se 
on virushavainnon aiheuttaman halytyksen perusteella jarjestetty katkaisemaan yh- 

10 teys ainakin yhteen muuhun jarjestelmaan (2, 3, 1 14) 

4. Patenttivaatimuksen 1-3 mukainen turvajarjestelma, tunnettu siita, etta se li- 
saksi sisaltaa toisen alijarjestelman (2) viestien valittamiseksi ensimmaisesta alijar- 
jestelmasta (1) ainakin yhteen turvajarjestelmaan liitettyyn jarjestelmaan (3, 210, 
114). 

15 5. Patenttivaatimuksen 1-4 mukainen turvajarjestelma, tunnettu siita, etta se li- 
saksi sisaltaa kolmannen alijarjestelman (3), joka on jarjestetty halytyksen vastaan- 
otettuaan katkaisemaan yhteys ainakin yhteen muuhun alijarjestelmaan (1,2). 

6. Patenttivaatimuksen 5 mukainen turvajarjestelma, tunnettu siita, etta toinen 
ahjarjestelma (2) sisaltaa kutakin kolmannen alijarjestelman (3) laitteen tunnistetta 

20 vastaavan tuniiisteen. 

7. Patenttivaatimuksen 1-6 mukainen turvajarjestelma, tunnettu siita, etta en- 
simmainen alijarjestelma (1) on jarjestetty tarkkailemaan toimintojaan virusten ha- 
vaitsemiseksi. 

8. Patenttivaatimuksen 2 mukainen turvajarjestelma, tunnettu siita, etta halytys 
25 on viesti tai ainakin osa viestia, joka valitetaan vastaanottajalle muuta viestiliiken- 

netta nopeammin. 

9. Patenttivaatimuksen 5 mukainen turvajarjestelma, tunnettu siita, etta kolmas 
alijarjestelma (3) sisaltaa ainakin yhden tietokoneen tai tietokoneen sisaltavan verk- 
koelementin. 

30 10. Patenttivaatimuksen 2 tai 8 mukainen turvajarjestelma, tunnettu siita, etta ha- 
lytys valitetaan eriUista yhteytta pitkin. 




11. Patenttivaatimuksen 1-10 mukainen turvajarjestelma, tunnettu siita, etta se on 
jarjestetty suorittamaan ainakin yksi toimenpide tuntemattomien virusten aktivoimi- 
seksi. 

12. Patenttivaatimuksen 1 1 mukainen turvajarjestelma, tunnettu siita, etta mainit- 
5 tu toimenpide on yksi seuraavista: aikatiedon muuttaminen, muistin sisallon muut- 
taminen, tiedostojen kasittely tai ainakin sen osittainen simulointi. 

13. Patenttivaatimuksen 1-12 mukainen turvajarjestelma, tunnettu siita, etta se on 
jarjestetty vertaamaan ainakin osittain samalla tunnisteella varustettuja viesteja kes- 
kenaan tuntemattomien virusten havaitsemiseksi. 

10 14. Patenttivaatimuksen 13 mukainen turvajarjestelma, tunnettu siita, etta se on 
jarjestetty pyytamaan mainittujen samalla tunnisteella varustettujen viestien lahetta- 
jalta ainakin yhta samalla tunnisteella varustetun viestin uusintalahetysta ja vertaa- 
maan ainakin yhta vastaanotettua uusintalahetettya viestia mainittuihin alkuperaisiin 
viesteihin viruksia sisaltavien viestien havaitsemiseksi. 

15 15. Patenttivaatimuksen 1-14 mukainen turvajarjestelma, tunnettu siita, etta se on 
jarjestetty havaitsemaan aktivoitunut virus ainakin yhden seuraavista ehdoista tayt- 
tyessa: ensimmaisessa alijarjestelmassa (1) tapahtuu jokin muutos ennen mainitun 
alijarjestelman suorittamia muutoksia aiheuttavia toimenpiteita, ensimmaisessa ali- 
jarjestelmassa (1) tapahtuu muutos, joka ei ole mainitun alijarjestelman viruksen 

20 paljastamiseksi tekema toimenpide, viesti lahtee muuhun jarjestelmaan ilman en- 
simmaisen alijarjestelman (1) kaskya, viesti lahtee muuhun jarjestelmaan vaaraan 
osoitteeseen tai jarjestelmaan, johon viestiliikennetta ei ole suunnattu, viesti ei lahde 
muuhun jarjestelmaan, vaikka se on sinne lahetetty. 

16. Patenttivaatimuksen 11 tai 12 mukainen turvajarjestelma, tunnettu siita, etta 
25 se on jarjestetty yhdistamaan virusten aktivointikeinoja ajassa joko yhta aikaa tai 

perakkain tapahtuviksi. 

17. Patenttivaatimuksen 11 tai 12 mukainen turvajarjestelma, tunnettu siita, etta 
se on jarjestetty valitsemaan virusten aktivointiyrityksissa kaytettavaksi logiikaksi 
ainakin yhden seuraavista: kayttajan maarittelema, esiohjelmoitu tai ainakin osit- 

30 tain satunnainen logiikka. 

18. Patenttivaatimuksen 5 mukainen turvajarjestelma, tunnettu siita, etta siihen 
on kytketty kolmaimen alijarjestelman (3) rinnalle jarjestelma, joka on jarjestetty 
tallentamaan kolmannesta alijarjestelmasta (3) lahetetty viesti. 
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19. Patenttivaatimuksen 18 mukainen turvajarjestelma, tunnettu siita, etta en- 
simmainen alijarjestelma (1) on jarjestetty vertaamaan rinnakkaisessa jarjestelmassa 
kolmannesta ahjarjestelmasta (3) ensimmaiseen ahjarjestelmaan (1) lahetetyn ja 
rinnakkaiseen jarjestelmaan lisaksi tallennetun viestin vkuksen aiheuttaman poik- 

5 keavuuden havaitsemiseksi. 

20. Patenttivaatimuksen 18 mukainen turvajarjestelma, tunnettu siita, etta 
mainittu rinnakkainen jarjestelma on jarjestetty lahettamaan tallentamansa viestin 
eteenpain. 

21. Patenttivaatimuksen 1-20 mukainen turvajarjestelma, tunnettu siita, etta se on 
10 jarjestetty tarkastamaan kauttaan vaUtettavat viestit tunnettujen virusten havaitsemi- 
seksi. 

22. Turvajarjestelma tiedon eristamiseksi ensimmaisen (114) ja toisen (3) jarjes- 
telman valilla, tunnettu siita, etta turvajarjestelma, joka sisaltaa ensimmaisen (1) ja 
toisen (2) ahjarjestelman, on jarjestetty siirtamaan tietoa ensimmaisen (114) ja toi- 

15 sen (3) jarjestelman valilla ensimmaisen (1) ja toisen (2) ahjarjestelman kautta, jo- 
ka turvajarjestelma on jarjestetty katkaisemaan yhteys ensimmaisen jarjestelman 
(114) ja ensimmaisen ahjarjestelman (1) valilla ennen yhteyden muodostumista en- 
simmaisen (1) ja toisen ahjarjestelman (2) valine, ja jarjestetty katkaisemaan yhteys 
ensimmaisen (1) ja toisen (2) alijarjestelman valilla ennen yhteyden muodostumista 

20 toisen ahjarjestelman (2) ja toisen jarjestelman (3) valille. 

23 . Menetelma virusten torjumiseksi tietokoneissa ja -verkoissa, tunnettu siita, et- 
ta se suoritetaan jarjestelmassa sisaltaen ensimmaisen ahjarjestelman (1) viestien 
vaUttamiseksi ja virusten havaitsemiseksi, joka ensimmainen alijarjestelma (1) on 
tiedonsiirron osalta eristettavissa muusta jarjestelmasta, joka menetelma sisaltaa 
25 vaiheet, joissa: 

- tarkkaillaan jarjestelman toimintaa viruksen havaitsemiseksi (3 1 1), 

- havaittaessa virus (3 12) suoritetaan halytys (316). 

24. Patenttivaatimuksen 23 mukainen menetelma, tunnettu jossa virus havaitaan 
ainakin yhden seuraavista ehdoista tayttyessa: ensimmaisessa alijarjestelmassa (1) 
30 tapahtuu jokin muutos ennen mainitun ahjarjestelman suorittamia muutoksia aiheut- 
tavia toimenpiteita, ensimmaisessa ahjarjestelmassa (1) tapahtuu muutos, joka ei ole 
mainitun ahjarjestelman viruksen paljastamiseksi tekema toimenpide, viesti lahtee 
muuhun jarjestelmaan Oman ensimmaisen ahjarjestelman (1) kaskya, viesti lahtee 
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muuhun jarjestelmaan vaaraan osoitteeseen tai jarjestelmaan, johon viestiliikennetta 
ei ole suunnattu, viesti ei lahde muuhun jarjestelmaan vaikka se on sinne lahetetty. 

25. Menetelma virusten torjumiseksi tietokoneissa ja -verkoissa, tunnettu siita, et- 
ta menetelma sisaltaa vaiheet, joissa: 

5 - suoritetaan jarjestelmassa ainakin yksi toimenpide viruksen aktivoimiseksi (3 10), 

_ tarkkaillaan jarjestelman toimintaa virusaktivoitumisen aikaansaaman tapahtuman 
havaitsemiseksi (311), 

- havaittaessa virus (3 12) suoritetaan halytys (3 16). 

26. Patenttivaatimuksen 25 mukainen menetelma, tunnettu jossa viruksen akti- 
10 voimiseksi suoritettava toimenpide on yksi seuraavista: aikatiedon muuttaminen, 

muistin sisallon muuttaminen, tiedostojen kasittely tai ainakin sen osittainen simu- 
lointi. 

27. Patenttivaatimuksen 25 mukainen menetelma, tunnettu joka suoritetaan tur- 
vajarjestelmassa kasittaen ensimmaisen aHjarjestelman (1) ja toisen aUjarjestelman 

15 (2), jossa menetelmassa vimsaktivoituminen havaitaan ainakin yhden seuraavista 
ehdoista tayttyessa: ensimmaisessa aHjarjestelmassa (1) tapahtuu jokin muutos en- 
nen mainitun aUjarjestelman suorittamia muutoksia aiheuttavia toimenpitei^, en- 
simmaisessa alijarjestelmassa (1) tapahtuu muutos, joka ei ole mainitun aUjarjes- 
telman viruksen paljastamiseksi tekema toimenpide, viesti lahtee muuhun jarjestel- 

20 maan ilman ensimmaisen aUjarjestelman (1) kaskya, viesti lahtee muuhun jarjestel- 
maan vaaraan osoitteeseen tai jarjestelmaan, johon viestiliikennetta ei ole suunnattu, 
viesti ei lahde muuhun jarjestelmaan vaikka se on sinne lahetetty. 

28. Patenttivaatimuksen 25 mukainen menetelma, tunnettu siita, etta viruksen ak- 
tivoimiseksi yhdistetaan virusten aktivointikeinoja ajassa joko yhta aikaa tai perak- 

25 kain tapahtuviksi. 

29. Patenttivaatimuksen 25 mukainen menetelma, tunnettu suta, etta virusten ak- 
tivointiyrityksissa kaytettavaksi logiikaksi vaUtaan ainakin yksi seuraavista: kaytta- 
jan maarittelema, esiohjelmoitu tai amakin osittain satunnainen logiikka. 

30. Patenttivaatimuksen 25 mukainen menetelma, tunnettu siita, etta se Usaksi si 
30 saltaa vaiheen, jossa etsitaan tunnettuja viruksia (306) niiUe ominaisten tuntomerk- 

kien avulla. 
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3 1 . Menetelma tiedon eristamiseksi ensimmaisen (1 14) ja toisen (3) jarjestelman 
valilla, tunnettu siita, etta menetelma suoritetaan turvajarjestelmassa, joka sisaltaa 
ensimmaisen (1) ja toisen (2) aUjarjestelman, joiden aUjarjestelmien (1, 2) kautta 
siirretaan tietoa ensimmaisen (1 14) ja toisen (3) jarjestelman valilla, joka menetel- 
5 ma sisaltaa vaiheet, joissa: 

-katkaistaan yhteys ensimmaisen jarjestelman (114) ja ensimmaisen aUjarjestel- 
man (1) valilla, 

- muodostetaan yhteys ensimmaisen aUjarjestelman (1) ja toisen aUjarjestelman (2) 
valille, 

10 -katkaistaan yhteys ensimmaisen aUjarjestelman (1) ja toisen aUjarjestelman (2) 
Valilla, 

-muodostetaan yhteys toisen aUjarjestelman (2) ja toisen jarjestelman valille (3). 

32. Laite virusten torjumiseksi tietokoneissa ja -verkoissa, joka laite sisaltaa vali- 
neet tiedon tallentamiseksi (610, 612) ja kasittelemiseksi (614) seka valineet tiedon 

15 siirtamiseksi (608) toisen laitteen kanssa, tunnettu siita, etta laite on jarjestetty 
vastaanottamaan viesti mainitulta toiselta laitteelta ja tarkistamaan mainittu viesti 
turitemattomien virusten havaitsemiseksi. 

33. Patenttivaatimuksen 32 mukainen laite, tunnettu siita, etta se on jarjestetty 
suorittamaan ainakin yksi toimenpide tuntemattomien virusten aktivoimiseksi. 

20 34. Patenttivaatimuksen 33 mukainen laite, tunnettu suta, etta mainittu toimenpi- 
de on ainakin yksi seuraavista: aikauedon muuttaminen, muistin sisaUon muuttami- 
nen, tiedostojen kasittely tai ainakin sen osittainen simulointi. 

35. Patenttivaatimuksen 32-34 mukainen laite, tunnettu siita, etta se on jarjestetty 
havaitsemaan virasaktivoitumihen ainakin yhden seuraavista ehdoista tayttyessa: 

25 tapahtuu muutos ennen laitteen tekemia muutoksia aiheuttamia toimenpiteita, ta- 
pahtuu muutos, joka ei ole laitteen viruksen paljastamiseksi tekema toimenpide, 

36. Patenttivaatimuksen 32-35 mukainen laite, tunnettu siita, etta se on jarjestetty 
lahettamaan viesti joko laitteen osalaitteistoUe tai mainituUe toiseUe laitteeUe, ja jar- 
jestetty havaitsemaan virusaktivoituminen ainakin yhden seuraavista ehdoista tayt- 

30 tyessa: viesti lahtee ilman laitteen virustentorjuntaohjehniston hyvaksyntaa, viesti 
lahtee osoitteeseen, johon sita ei ole alun perin suunnattu, viesti ei lahde vaikka sille 
on annettu lahetyskasky. 
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37. Patenttivaatimuksen 33 mukainen laite, tunnettu siita, etta se on jarjestetty 
yhdistamaan virusten aktivointikeinoja ajassa joko yhta aikaa tai perakkain tapahtu- 
viksi 

38. Patenttivaatimuksen 33 mukainen laite, tunnettu siita, etta on jarjestetty valit- 
semaan viruksen aktivointiyrityksessa kaytettavaksi logiikaksi ainakin yhden seu- 
raavista: kayttajan maarittelema, esiohjelmpitu tai ainakin osittain satunnainen lo- 
giikka. 

39. Patenttivaatimuksen 32-38 mukainen laite, tunnettu siita, etta se on jarjestetty 
tarkastamaan mainittu viesti tunnettujen virusten havaitsemiseksi. 

40. Patenttivaatimuksen 32-39 mukainen laite, tunnettu siita, etta se on jarjestetty 
tarkkailemaan toimintojaan virusten havaitsemiseksi. 




(57) Tiivistelma 

Keksinnon kohteena on turvajarjestelma, menetelma ja laite 
virusten torjumiseksi seka tiedon eristamiseksi. Turvajar- 
jestelma kasittaa alijarjestelmat 1-3, joka alijarjestelma 1 
sisaltaa virastoquntaohjelmiston lisaksi ne alijarjestelman 3 
ohjelmat, jotka voivat aikaansaada viruksen aktivoitumisen. 
Alijarjestelma 2 toimii viestiliikenteen valiportaana alijar- 
jestelmien 1 ja 3 valilla. Esitetyssa menetelmassa suorite- 
taan toimenpiteita viruksen aktivoimiseksi ja virusaktivoi- 
tumisen havaitsemiseksi. Virusaktivoitumisen yhteydessa 
turvajarjestelma tai sen osa voidaan erottaa muusta jarjes- 
telmasta ja siten rajoittaa syntyvia vahinkoja. Kun turvajar- 
jestelma sijoitetaan kahden jarjestelman valiin, voidaan sita 
kayttaa myos eristamaan mainitut kaksi jarjestelmaa toisis- 
taan suoran, reaaliaikaisen tiedonsiirron osalta. Keksinnon 
mukainen laite on jarjestetty vastaanottamaan viesti toiselta 
laitteelta ja tarkistamaan mainittu viesti tuntemattomien vi- 
rusten aktivoimiseksi ja havaitsemiseksi. 
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